应急响应中的溯源方法

发布时间:2023年12月24日

在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。

对内溯源与对内溯源

对内溯源:确认攻击者的行为 ,分析日志 数据包等;

对外溯源:确认攻击者的真实身份,确定攻击 ip,进一步确实域名及注册信息等。

溯源整体思路

常规出现的异常点

  1. 网页被篡改、被挂上了黑链、web文件丢失等
  2. 数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等
  3. 主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等
  4. 主机流量层出现大量异常流量

信息收集

  1. 攻击时间、攻击ip、恶意文件、攻击详情(重要)
  2. 异常服务器的主要业务
  3. 网络拓扑,是否可以公网访问,开放端口,是否有补丁,使用的 web 技术等
  4. 是否有安全设备

往往得到的一些可能:“一个web服务器公网可以访问出现了被挂黑链的事件使用了s2框架,那么初步可以怀疑是s2-045 s2-046之类的命令执行漏洞了;如果一台公网服务器没有安装补丁又没有防火墙防护,administrator的密码为P@sswrod那么有很大的可能性是被暴力破解成功;后面的工作主要就是收集各种资料证明这一猜想即可。”

案例

1.邮件钓鱼攻击溯源

  1. 攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。
  2. 信息收集:通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
  3. 溯源方式:
    第一种,可以通过相关联的域名/IP进行追踪;
    第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;
    第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。

2.Web入侵溯源

  1. 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。
  2. 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。 在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。

3.蜜罐溯源

  1. 攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。
  2. 溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
文章来源:https://blog.csdn.net/2301_76786857/article/details/135183757
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。